1 / 51

防火墙安装调试教材 ( 适用于防火墙版本V2.1.0 )

联想信息安全 LSPE 认证培训. 防火墙安装调试教材 ( 适用于防火墙版本V2.1.0 ). 目 录. 1.安装调试前的工作. 2.初次登录防火墙的管理界面. 3.更改防火墙的 IP 地址. 4.串口命令行管理防火墙. 5.典型网络环境防火墙配置. 6.防火墙其它功能的介绍. 7.如遇到问题怎么办. 目 录. 1. 安装调试前的工作. 1.1 拆箱检查. 1.2 要获得专业服务的前期工作. 1.安装调试前的工作. 1.1 拆箱检查. 请安装装箱单的提示进行检查机箱内所有

nadda
Télécharger la présentation

防火墙安装调试教材 ( 适用于防火墙版本V2.1.0 )

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 联想信息安全LSPE认证培训 防火墙安装调试教材 (适用于防火墙版本V2.1.0)

  2. 目 录 1.安装调试前的工作 2.初次登录防火墙的管理界面 3.更改防火墙的IP地址 4.串口命令行管理防火墙 5.典型网络环境防火墙配置 6.防火墙其它功能的介绍 7.如遇到问题怎么办

  3. 目 录 1.安装调试前的工作 1.1 拆箱检查 1.2 要获得专业服务的前期工作

  4. 1.安装调试前的工作 1.1拆箱检查 • 请安装装箱单的提示进行检查机箱内所有 • 的配件: • 防火墙主机、USB电子钥匙、随机光盘、 • 管理手册、随机资料、电源线、网线、 • 串口线、安装支架、保修卡 *注:如发现有问题,请及时与你的供货商进行沟通解决。

  5. 1.安装调试前的工作 1.2 要获得专业服务的前期工作 • 第一时间内填写保修卡的回执卡, 并邮寄回我公司, 以便于成为我公司永远 关怀的对象 • 到联想信息安全升级网站 http://www.leadsec.com.cn 进行产品注册,请你详细填写用户名、 通信地址、联系电话、E-mail地址等信息, 以便于在防火墙有新的技术成果能够及时的传递给用户

  6. 目 录 2.初次登录防火墙的管理界面 2.1 准备工作 2.2 安装网御电子钥匙 2.3 安装“联想网御2000管理员登录”程序 2.4 进入“联想网御2000管理员登录”程序 2.5 认证、登录防火墙的管理界面

  7. 2.初次登录防火墙的管理界面 2.1 准备工作 • 接通防火墙电源,开启防火墙 • 选用一台带USB接口、以太网卡和光驱的PC机 作为 防火墙的管理主机,操作系统应为Window98/ 2000/XP • 使用随机提供的交叉线,连接管理主机和防火墙的 • eth1网口 • 将管理主机的IP地址改为10.1.5.200(防火墙出厂 • 时默认指定的管理主机IP)

  8. 2.初次登录防火墙的管理界面 2.2 安装网御电子钥匙 • 将随机光盘放入管理主机的光驱,进入随机附带的光盘的key • 目录,执行该目录下的INSTDRV,提示“退出请重新插锁”, • 则表示已正确安装完网御电子钥匙的驱动程序 • 将网御电子钥匙插入管理主机的USB口,管理主机会提示 • 发现新硬件,并自动进行驱动程序的安装 *注意:安装驱动程序过程中,请不要先将网御电子钥匙插入管理主机的USB口。

  9. 2.初次登录防火墙的管理界面 2.3 安装“联想网御2000管理员登录”程序 •  在管理主机上,运行随机光盘key目录下的 • AdminSetup.exe程序根据提示进行安装。安装结束 • 后,会在桌面创建一快捷方式 ,同时出现下面窗口: • 再次登录直接执行快捷方式即可

  10. 2.初次登录防火墙的管理界面 2.4 进入“联想网御2000管理员登录”程序 • 启动“联想网御2000管理员登录”程序,程序将提示 • 用户输入PIN口令,首次使用默认PIN为“12345678”, • 通过后弹出管理员身份认证对话框,如下图:

  11. 2.初次登录防火墙的管理界面 2.5 认证、登录防火墙的管理界面 • 点击“连接”按钮 • 认证通过弹出“通过认证”对话框 • 打开管理主机的IE浏览器,浏览http://10.1.5.254:8888 , 出现如下防火墙管理界面: *注:在管理防火墙过程中,本程序每5秒将向防火墙提交一次认证信息,因此, 不能拔出电子钥匙,或者关闭认证程序,否则将导致对防火墙的管理被立即中断。

  12. 目 录 3. 更改防火墙的IP地址 3.1 更改防火墙IP地址的原则 3.2 更改防火墙IP地址 3.3 重新登录防火墙前的工作 3.4 重新登录防火墙 3.5 进行系统保存 3.6 登录配置更改地址防火墙的管理界面

  13. 3.更改防火墙的IP地址 3.1 更改防火墙IP地址的原则 • 一般地,防火墙通常至少要有一个IP地址 • 防火墙至少其中的某个IP与相邻的三层设备 • (如路由器、三层交换机)的IP地址在同一IP网络 • 上,使管理主机可管理到 • 防火墙的IP地址应不与其他网络设备或PC的IP • 地址冲突(即空闲的IP地址)

  14. 3.更改防火墙的IP地址 3.2 更改防火墙IP地址 • 将“系统配置”下的“基本参数”页的防火墙和 • 管理主机地址进行修改后,点击此页的“确定” • 按钮,出现以下页面: • *注:此时,管理主机对防火墙的管理已断开连接,如此时防火墙断电重启, 防火墙的配置会恢复到出厂状态。

  15. 3.更改防火墙的IP地址 3.3 重新登录防火墙前的工作 • 改变管理主机的IP地址为10.0.14.249, 子网掩码为255.255.255.248 • 在“防火墙管理员认证”程序界面,将电子钥匙 内的防火墙IP直接改为10.0.14.250,并“保存”

  16. 3.更改防火墙的IP地址 3.4 重新登录防火墙 • 重新认证 • 认证通过后,打开IE浏览器,浏览 • http://10.0.14.250:8888,出现如下防火墙管理界面:

  17. 3.更改防火墙的IP地址 3.5 进行系统保存 • 到“系统工具”——“系统保存”页,点击 • “系统保存”的“确定”按钮,完成对防火墙IP • 地址的修改。 • *注:如不进行系统保存,防火墙出现断电重启时,防火墙的配置 • 会恢复到出厂状态。你修改防火墙IP地址的工作就会白做。

  18. 3.更改防火墙的IP地址 3.6 登录配置更改过的防火墙管理界面 • 确认管理防火墙的主机的IP地址为10.0.14.249或10.0.0.168远程 管理时使用,即跨网段管理时使用),将电子钥匙进行了正确的安装 • 运行随机光盘key目录下的AdminSetup.exe程序,根据提示进行 • 安装。安装结束后,会在桌面创建一快捷方式(以下均以主防火墙为例) • 启动认证程序,程序将提示用户输入PIN口令,出现认证窗口 • 点击“连接”, 认证通过后,不要关闭认证窗口 • 打开IE浏览器,浏览 http://10.0.14.250:8888, • 出现防火墙管理界面后,进行防火墙的配置 • 配置完成后,在“系统工具”——“系统保存”页,点击 “系统保存”的“确定”按钮,对配置进行保存

  19. 目 录 4.串口命令行管理防火墙 4.1登录防火墙串口命令行管理界面前的工作 4.2登录防火墙串口命令行管理界面 4.3串口命令行命令介绍 4.4重要命令的说明

  20. 4.串口命令行管理防火墙 4.1登录防火墙串口命令行管理界面前的工作 • 当系统工作不正常,并且不能通过网络正常 • 管理防火墙时,此时,可以通过串口登录到防 • 火墙,并对防火墙进行配置。 • 使用随机所附的串口线,将防火墙的串口2与一 台装有超级终端的个人计算机的串口连接起来。 • 设置超级终端的波特率:19200;数据位:8; 奇偶校验:无;停止位:1;流量控制:硬件

  21. 4.串口命令行管理防火墙 4.2登录防火墙串口命令行管理界面 • 建立连接后(出现AntiCracker2000V2.0 login:提示符), 输入正确的帐号和密码,就能够登录防火墙,进入防火墙命令行 方式。防火墙出厂时,默认的串口管理员帐号和密码分别为: admin/admin123

  22. 4.串口命令行管理防火墙 4.3串口命令行命令介绍 • 使用help命令可显示在命令行状态可以使用的 • 命令列表。目前可用命令包括: • Arp、block_ip、chid、 clock-syn、 • date 、dns、exit、help、 ifconfig、 • init-admin、init-fw 、mipcfg、netstat、 • ping、PPPAdmin、route、rcs-policys、 • SSHAdmin、sysmail、 tcpdump

  23. 4.串口命令行管理防火墙 4.4重要命令的说明 • ifconfig 本命令用于显示防火墙的IP设置情况 • init-fw 本命令将系统所有配置恢复为出厂的默认设置。 • 注意:这是一个较危险的命令。请在将用户配置导出后在使用本命令,以备恢复用户配置。 • mipcfg 本命令用于显示和设置管理主机IP。 • mipcfg –D 显示管理主机IP设置 • mipcfg –S 10.0.14.249 设置管理主机IP为10.0.14.249 • rst_policys 用于清除防火墙规则和恢复防火墙默认规则 • rst_policys –C 清除防火墙规则 • rst_policys –R 恢复防火墙默认规则 • ping 本命令用于检测网络连接状况。 • 常用用法:ping 10.0.0.168 (测试防火墙 • 和10.0.0.168是否可达)

  24. 目 录 5. 典型网络环境防火墙配置 5.1防火墙配置的基本原则 5.2防火墙与其它网络设备的连接 5.3防火墙的路由 5.4典型网络未使用防火墙时的安全分析 5.5加入防火墙后的网络拓扑 5.6加入防火墙后的好处 5.7防火墙的地址 5.8网络访问安全要求 5.9防火墙的简单配置 5.10 较复杂典型网络分析

  25. 5.典型网络环境防火墙配置 5.1防火墙配置的基本原则 • 让合法用户合理利用网络资源 • 使网络免受已知风险 • 安全与方便之间选择一个平衡点

  26. 5.典型网络环境防火墙配置 5.2防火墙与其它网络设备的连接 • 防火墙----交换机、HUB :直通线(普通网线) • 防火墙----PC、笔记本、路由器:交叉线 • *注:随机提供的网线是交叉线

  27. 5.典型网络环境防火墙配置 5.3防火墙的路由 • 默认网关 • 默认网关的作用:防火墙在无法决定该往哪里转发 • IP包的时候,将把IP包转发到缺省网关。 • 配置默认网关的原则:默认网关应该是防火墙连接外网 • 的下一跳地址。如防火墙连接到外网的下一个设备是路由器, • 则默认网关应设置为与防火墙连接的路由器接口的IP地址。 • 静态路由 • 当防火墙隔离的内网使用了路由器或三层交换机等三层设 • 备的路由功能的时候,需要考虑配置静态路由。

  28. 5.典型网络环境防火墙配置 5.4典型网络未使用防火墙时的安全分析 • 代理服务器经常受到攻击,并以此为跳板攻击内部网络 • 公开服务器需要进行隐藏,增加安全性 • 需要增加内网用户访问公网的速度 • …… 结论:需增加专用的网络安全设备(防火墙)对现有网络进行保护

  29. 5.典型网络环境防火墙配置 5.5加入防火墙后的网络拓扑

  30. 5.典型网络环境防火墙配置 5.6加入防火墙后的好处 • 内部用户可以通过防火墙做NAT方式防火墙Internet, 访问速度加快,同时可以隐藏内部的网络结构 • 通过防火墙做反向NAT,Internet用户可以正常的访问服务器 区服务器提供的特定服务,并且可以隐藏网络结构,增加 了对服务器的保护 • 将服务器与内部主机通过防火墙进行隔离,可以避免由服务器 到内部主机发起的攻击限制内部主机对服务器的访问权 限,可以防止内部对服务器可能发生的破坏 • ……

  31. 5.典型网络环境防火墙配置 5.7防火墙的地址 • 10.0.14.250/24 作为内部主机的网关 • 200.1.1.3/27 作为web server对外公开的地址 • 200.1.1.2/27 作为内部主机NAT访问Internet的公网地址 • 防火墙的默认网关:200.1.1.1

  32. 5.典型网络环境防火墙配置 5.8网络访问安全要求 • 局域网管主机地址是10.0.14.249,同时管理防火墙和web 服务器 • 不允许web服务器向外访问 • 允许局域网主机访问互联网任意主机,访问的服务不作限制 • 允许互联网主机通过http://200.1.1.3访问web服务器 • 其它访问均禁止

  33. 5.典型网络环境防火墙配置 5.9防火墙的简单配置 • 防火墙添加的“安全规则” • 防火墙添加的“反向NAT”规则 • 防火墙策略配置应遵循:完备性、正确性、一致性 • *注:添加规则之后,点击“规则生效”,全部规则立即生效。进行系统 保存,防火墙的简单配置完成。

  34. 5.典型网络环境防火墙配置 5.10较复杂典型网络分析 • 防火墙如何布置? • 防火墙添加哪些规则?

  35. 目 录 6. 防火墙其它功能的介绍 • 6.1管理防火墙的方式 • 6.2集中管理功能 • 6.3远程支持功能 • 6.4代理服务功能 • 6.5支持非TCP/IP协议和VLAN协议 • 6.6支持用户认证、时间控制、流量控制 • 6.7支持MAC与IP地址的绑定 • 6.8邮件过虑功能 • 6.9 URL过虑功能 • 6.10 入侵检测功能 • 6.11 双机热备功能

  36. 6.防火墙其它功能的介绍 6.1管理防火墙的方式 • 网御电子钥匙web管理 • 串口web管理(com1) • 串口命令行管理(com2) • 基于电子证书的web管理

  37. 6.防火墙其它功能的介绍 6.2集中管理功能

  38. 6.防火墙其它功能的介绍 6.3远程支持功能

  39. 6.防火墙其它功能的介绍 6.4代理服务功能

  40. 6.防火墙其它功能的介绍 6.5支持非TCP/IP协议和VLAN协议

  41. 6.防火墙其它功能的介绍 6.6支持用户认证、时间控制、流量控制

  42. 6.防火墙其它功能的介绍 6.7支持MAC与IP地址的绑定

  43. 6.防火墙其它功能的介绍 6.8邮件过虑功能

  44. 6.防火墙其它功能的介绍 6.9 URL过虑功能

  45. 6.防火墙其它功能的介绍 6.10 入侵检测功能

  46. 6.防火墙其它功能的介绍 6.11 双机热备功能

  47. 目 录 7.如遇到问题怎么办 • 7.1保存配置信息——会使你成为解决问题的专家 • 7.2充分利用日志信息——会使你“柳岸花明” 7.3随机手册——你的得力助手 7.4联想专家热线——你永远可信赖的朋友

  48. 7.如遇到问题怎么办 7.1 保存配置信息——会使你成为解决问题的专家 • 及时系统保存 • 配置时经常地进行系统保存,将使我们的防火墙不至 • 于因断电等原因丢失已配置的信息 • 规则的导入导出 • 规则的导入导出将提高配置效率和保存并使用特定的 • 安全策略。如在模块升级后由于规则将恢复到出厂状 • 态,此时使用此功能将能快速恢复配置信息 • 书写调试文档 • 将调试人、网络拓扑图、加入规则的原因、遗留问题 • 等信息进行详细的记录,形成文档备案

  49. 7.如遇到问题怎么办 7.2 充分利用日志信息——会使你“柳岸花明” 在调试防火墙的过程中,详细阅读防火 墙的日志信息。及时将应允许通过防火墙的 数据在安全规则上体现,使其正常通过防火 墙

  50. 7.如遇到问题怎么办 7.3 随机手册——你的得力助手 如在使用联想网御2000防火墙过程中遇到 问题,请仔细阅读防火墙的《配置使用手册》 和《功能应用手册》

More Related